-1

在黑客挑战中,我发现了以下内容:

<input type="hidden" value="1500" name="price">

这个挑战让你明白,如果你足够聪明地改变价值(这是由 Web 应用程序的客户端强加的),你基本上可以在购买之前改变商品的价格。
这是一个影响 Web 应用程序的众所周知的漏洞,但我真的不知道如何更准确地命名这种类型的漏洞。感谢任何帮助。

4

2 回答 2

6

这称为Web 参数篡改,或称为假定不可变 Web 参数的外部控制 (CWE-472)

于 2013-04-09T17:06:09.817 回答
0

我会将其归类为客户端漏洞。虽然开发人员使用隐藏字段来存储可能被认为敏感的信息是闻所未闻的,但开发新手可能会将其用于“简单”解决方案。

显然隐藏字段没有被渲染,但是从源代码中很容易看到。

于 2013-04-09T17:07:38.240 回答